Apartman ve Site Yönetimleri, Yöneticileri Kişisel Verileri Koruma Kanunu Açısından Sorumlu Mu?

Uzun bir süredir apartman ve site yönetimi dünyasını meşgul eden bir soru nihayet uygulama açısından aydınlandı. Bizlere de sıkça sorulan soruların başında gelen bu soru “apartman ve site yönetimleri/yöneticilerinin Kişisel Verilerin Korunması Kanunu açısından sorumlu olup olmadığı” ile ilgiliydi. Kişisel Verileri Koruma Kurulu bu konudaki düşüncesini açıkladığı bir karar ile kamuoyu ile paylaştı. Bu yazımızda bu karar ve sonucunu sizlerle paylaşmak istiyoruz.

Apartman ve Site Yönetimlerinde KVKK (Kişisel Verilerin Korunması Kanunu)

1.802.000 TL Ceza! (Apartman ve Sitelerde KVKK)

Sorun Neydi?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 3’üncü maddesinde veri sorumlusu şu şekilde açıklanmıştır: “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi'dir. Bu tanımlama uyarınca “KVKK kapsamında kişisel verilerin korunmasından sorumlu olabilmek için gerçek veya tüzel kişi olması” gerekmesine rağmen Kişisel Verileri Koruma Kurulu, yalnızca bu kararında değil birçok kararında bu ifadenin geniş yorumlanması gerektiğini belirtmektedir. Uygulamada Kişisel Verilerin Korunması Kanunu alanında çalışan kişiler de hemfikir durumdadır. Ayrıca benzer bir durum Tüketicinin Korunması Hakkında Kanun çerçevesinde de söz konusu olup, yönetimler belli durumlarda "tüketici" olarak kabul edilmektedir.  634 sayılı Kanun kapsamındaki apartman ve site yönetimlerinin ise tüzel kişiliği yoktur. Söz konusu yönetimler ne gerçek kişidir ne de tüzel kişidir. Bu sonuç, apartman ve site yönetimlerinin KVKK kapsamına girmediği yönünde yorumlar yapılmasına neden olmuştur. Dolayısıyla uygulamada yöneticiler, kat malikleri ve Kat Mülkiyeti Kanunu alanında çalışan hukukçular tereddüt yaşamışlardır. Şimdi Kişisel Verileri Koruma Kurulu’nun bu kararı ile anagayrimenkul yönetimlerinin KVKK açısından sorumluluğunun bulunup bulunmadığının belirsizliğini en azından tartışmaya açılması açısından önemli olduğunu değerlendirmekteyiz.

Kişisel Verileri Koruma Kurulu Ne Diyor?

Kişisel Verileri Koruma Kurulu 22.07.2020 tarihi ve 2020/560 sayılı kararında apartman ve site yönetimlerinin tüzel kişiliği olmadığını ifade etmiş, ancak Kat Mülkiyeti Kanunu (KMK) kapsamındaki düzenlemeleri değerlendirerek yeri geldiğinde yönetimlerin de KVKK kapsamında veri sorumlusu konumunda olabileceğini değerlendirmiştir. Kişisel Verileri Koruma Kurulu KMK’nın 20, 27, 28, 32, 34, 35, 38, 41, 66 ve 69. maddelerindeki düzenlemeleri sistematik açıdan değerlendirdikten sonra aşağıdaki açıklamalarda bulunmuştur:

“… apartman ve site yönetimlerinin tüzel kişiliği bulunmasa bile … yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği,

Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde ayrıksı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği,

Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirilebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği”

Bu açıklamalar sonucunda;

1. Kat malikleri kurulları veri sorumlusu olarak kabul edilmiştir.
   
   
2. Kat malikleri kurulunun ise Kişisel Verilerin Korunması Kanunu’nun (KVKK) veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından “bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği" belirtilmiş olup dolayısı ile apartman veya site kat malikleri kurulu (ya da toplu yapılarda temsilciler kurulu) tarafından kendi aralarından seçilen yönetici / yönetim kurulu / yönetim kurulu başkanı veya kendileri dışından belirledikleri profesyonel gerçek ya da tüzel kişi yöneticiler ,veri sorumlusuna yüklenen yükümlülüklerin yerine getirilmesi bakımından kat malikleri kurulu / temsilciler kurulu tarafından yetkilendirilmiş iseler veri sorumlusu konumunda sayılacaklardır.
   
   
3. Veri sorumlusuna KVKK ile yüklenen yükümlülüklerden bazıları, aydınlatma yükümlülüğünün yerine getirilmesi, açık rıza alma, idari ve teknik tedbirlerin alınmasıdır. Bu çerçevede, bahsedilen sadece kişisel verilerin işlenmesine ilişkin yetki ile sınırlı değildir. 
   
   
4. Kat malikleri kurulu, yönetici olarak seçilen kişi dışında başka kişi/kişileri veri sorumlusu olarak tayin ettiyse, bu kişiler de her olay özelinde veri sorumlusu olarak kabul edilebileceklerdir. 

Kurul kararının 1774 Sayılı Kimlik Bildirme Kanunu (KBK) ve “Kimlik Bildirme Kanununun Uygulanması İle İlgili Yönetmeliği” açısından da  yönetmeliğin 14. Maddesine göre kişisel veri niteliğinde olan ancak anagayrimenkul yönetimini verimli ve hızlı gerçekleştirebilmek adına zorunluluk arz eden bazı bilgilerin alınmasında sorun oluşturup oluşturmayacağı, Kişisel Verileri Koruma Kurulu kararının kat malikleri kurulunu veri sorumlusu olarak kabul etmesi, yönetici seçilmeyen ve fiili olarak genel kurul teşkil edilmeyen anagayrimenkullerde maliklerin her birinin veri sorumlusu haline gelmesi durumu, genel kurul teşkil edilen apartman ve sitelerde veri sorumlusu olarak kabul edilen kat malikleri kurulunun vekili olan yöneticiye , her halükarda belirleyeceği bir başka malik, veya “iradi temsilci” olarak adlandırdığı kişilerin ( uygulamada kat malikleri kurulu tarafından seçilen veya yönetim kurulu tarafından atanan profesyonel yöneticiler, yönetim fonksiyonu sunan tüzel kişilikler, entegre tesis yönetim firmaları, muhasebe ,tahsilat, denetim hizmeti yapan smmm’ler dahil  vs.) de esasen “veri sorumlusu” olarak değil” uygulamada “veri işleyen” olması durumunun açıkça çok sayıda belirsizlik ve  denetimsizliğe açık olabileceğini, birçok apartman yönetiminin bu kişisel verileri yöneticinin kişisel cep telefonunda ve bilgisayarlarında , toplu yapı yönetimlerinde (siteler) ise müdürün, çalışan personelin görev alanına göre farklı bilgisayarlardaki excel vs. dosyalarında, zaman zaman yönetim kurulu başkanı, yönetim kurulu üyelerinin bilgisayarlarında, araç giriş çıkış (otopark), parmak izi, kartlı giriş çıkış, ödeme sistemi, toplu mailing, SMS, ısı paylaşımına ilişkin sistemler (kalorimetre ve pay ölçerler için fatura paylaşımına ilişkin kullanılan bildirim evraklarını oluşturan yazılımlar)  gibi farklı sistemlerin kurulu olduğu bilgisayarlarda data olarak barındırdığını ve hatta bu farklı sistemlerde farklı üçüncü parti kişi ve kuruluşlardan periyodik hizmet alındığını düşündüğümüzde birçok apartman ve site yönetiminin Kişisel Verileri Koruma Kurulu’nun 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK)  Kabahatler başlıklı 18. Maddesine dayanarak, her bir ihlalden dolayı 1.802.000 Türk Lirasına kadar olan yüksek para cezası içerecek kararları ile karşı karşıya kalabileceğini maalesef ifade etmek isteriz.

İnceleme Önerisi: 6698 Sayılı Kişisel Verilerin Korunması Kanunu 

Apartman ve toplu yapı (site) yönetimlerinin; Kişisel Verileri Koruma Kurulu’nun 6698 sayılı Kişisel Verilerin Korunması Kanunu ( KVKK ) açısından bu kararının öncelikle kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyi temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması (önlem alma yükümlülüğü) gerektiği anlamına gelmekte olup, dolayısı ile kişisel bilgi ve verilerin yer alacağı teknik alt yapının iyi kurulmuş olması gerekecektir. Maalesef yukarıda belirtildiği üzere cep telefonlarında, farklı yöneticilerin ve çalışanların bilgisayarında excel vs. dosyalarında, farklı sistemlerin datalarında dağınık bir şekilde bulunması, 3. kişilerden hizmet alınması durumunda ise kontrolünün sağlanması oldukça güç olacak ve kat malikleri kurulunun “veri sorumlusu” olması sebebi ile kat maliklerine yüksek para cezalarından kendilerine düşen payların ortaya çıkmasına sebep olabilecektir.  Kurulun bu kararı ile veri güvenliklerinin daha iyi sağlandığı düşüncesi ile kimi apartman ve site yönetimlerinin hatta iş merkezleri, alışveriş merkezleri yönetimlerinin kendi imkanları çerçevesinde zaman zaman lisanssız işletim sistemlerinde barındırdığı veya iç ağları (intranet) olarak kullandığı site yönetim yazılımlarının güvenirliliği hususunu tekrar değerlendirmeleri gerekecektir. Yönetimlerin ve dolayısı ile profesyonel yönetim firmaları ile entegre yönetim yapan şirketlerin dış ağ (extranet) yani internet tabanlı yönetim sistemleri yazılımlarında ise güvenli alt yapıyla çalışma, bilgi güvenliğini 256 bit SSL sertifikası ile sağlama, kredi kartı bilgilerini saklı tutma, sistemin yedekli çalışmasını sağlama, en güncel teknolojik alt yapıyla çalışma ve SQL veri tabanına sahip olma gibi önemli güvenlik özelliklerinin bulunması, mesajlaşma, mail gönderimi, kapılar ve otoparklarda bulunan kartlı, parmak izli, HGS, Plaka Okuma giriş çıkış, kalorimetre (ısı sayacı) paylaşımı, randevu, rezervasyon, kargo ve posta takip- dağıtım, şikayet ve talep yönetimi gibi farklı fonksiyonların birden fazla yazılımda değil, bütünleşik olarak en az sayıda yazılımda çözülmesini sağlamaları önemli hale gelmiştir.

Okuma Önerisi: Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler

Yine Kişisel Verileri Koruma Kurulu’na genellikle site sakinleri tarafından genellikle konu ile ilgisi olmayan yönetim veya yönetim kurulu üyeleri ya da site çalışanları  ile başka çekişmeleri sebebi ile yapılacak şikayetlerde ihlalin  gerçekleştiğinin tespit edilmesi durumunda ilgililere bildirim yükümlülüğünün yerine getirilebilmesi için ilgililerle anında ve doğrudan iletişime geçmek üzere gerekli olabilecek altyapıların hazır bulundurulması da faydalı olacaktır. Unutulmamalıdır ki; 5326 sayılı Kabahatler Kanununun 27. maddesi para cezalarına karşı itirazın, kararın tebliğinden sonra en geç 15 gün içinde yetkili Sulh Ceza Hakimliği’ne başvurulması gerektiği, süre içerisinde başvurulmaz ise kararın kesinleştiğini düzenlemektedir. Yapılan itiraz kararın yerine getirilmesinin geri bırakılması sonucu doğurmayacak, Kişisel Verileri Koruma Kurulu’nun icra talebinde bulunmasını engellemeyecektir. Yine idari para cezasını kanun yoluna başvurmadan önce ödeyen kişiden bunun dörtte üçü tahsil edileceği düzenlemesinden yararlanmak için, ceza ödendikten sonra itiraz yoluna başvurulması gerektiğinden Apartman ve Site Yönetimleri bu ceza bedelinin kat maliklerinden toplanması hususunda sorun yaşayabilecekler zira cezayı ödemeden itiraz yoluna gidilmesi, erken ödeme avantajının kaybolmasına neden olabilecektir.

Tavsiyemiz ise her Apartman ve Site Yönetiminin kişisel verilerin korunmasına ilişkin, KVKK mevzuatına ve uygulamasına hâkim kuruluş ve  hukukçulara başvurarak "durum tespiti" yaptırmasıdır. Böylece Apartman ve Site Yönetimleri ileride çok büyük miktarlarda cezaların uygulanmasından ve kanun yolu prosedüründen kaçınılabilir.